< Назад к новостям

Новости Shikari Авто

Эксперт объяснил, чем опасна утечка данных из каршеринга

Аккаунт в каршеринге содержит не только контакты водителя, но и документы, платежные данные, историю поездок и сведения о маршрутах. Такой профиль ценен для мошенников: по нему можно убедительно имитировать обращение от сервиса, Госавтоинспекции или другой организации.

По данным Авто Mail, руководитель продукта Solar Dozor Али Гаджиев пояснил, что сервисы аренды автомобилей получают от клиента базовый набор персональных данных: ФИО, телефон и адрес электронной почты. Но на этом сбор информации не заканчивается, поскольку для допуска к машине нужны документы и подтверждение личности.

К наиболее чувствительным данным относятся сведения водительского удостоверения и фотографии пользователя с раскрытым паспортом. В статье отмечается, что такие материалы фактически имеют признаки биометрии и требуют особенно строгого хранения.

Отдельный массив формируют геолокация, история аренды, адреса начала и завершения поездок, время использования автомобиля и координаты парковок. В профиле также могут храниться данные привязанных банковских карт и информация о стиле вождения.

Как эти данные используют злоумышленники

Основной сценарий — адресный фишинг. Если преступники знают дату поездки, модель автомобиля и детали маршрута, им проще убедить водителя, что звонок связан с реальным событием: например, с якобы зафиксированным ДТП, нарушением правил парковки или крупным штрафом.

После этого жертву могут попытаться склонить к передаче кода из SMS. В легенде мошенников такой код нужен для отмены штрафа, блокировки передачи дела или подтверждения личности, хотя на деле он может открыть доступ к аккаунтам или финансовым операциям.

Фотографии с паспортом создают другой риск: их могут использовать для регистрации подставных профилей в сервисах аренды или для попыток оформить микрозайм на имя владельца документов. Еще один возможный сценарий — шантаж на основе истории поездок, если маршруты раскрывают нежелательные для публикации адреса.

ГК «Солар» в отдельной публикации о DLP-системе Solar Dozor сообщала, что в 2024 году ее эксперты проанализировали 230 инцидентов информационной безопасности. По этим данным, 82% инцидентов в организациях связаны с ошибками сотрудников, а 18% — с умышленными действиями.

  • 35% инцидентов с утечками приходилось на мессенджеры;
  • 15% — на публикацию данных в открытых источниках, облаках и файлообменниках;
  • 12% — на съемные носители;
  • еще 12% — на демонстрацию экрана третьим лицам во время видеоконференций;
  • около 3% — на печать документов.

В материале Авто Mail отдельно отмечается, что крупная клиентская база может занимать всего несколько десятков мегабайт и помещаться в файл Excel или CSV. Если компания не контролирует внутренние каналы передачи данных, такой файл можно попытаться отправить наружу, в том числе в архиве с паролем.

Для снижения риска каршеринговые компании используют технический контроль и обучение персонала. В качестве примера приведен «Делимобиль»: сервис соблюдает требования законодательства о персональных данных и информации, а также стандарты PCI DSS для платежной инфраструктуры.

Для защиты от внутренних утечек применяются DLP-инструменты, которые анализируют содержимое файлов, фиксируют отправителя, канал и время передачи, а при нарушении политики безопасности могут заблокировать пересылку базы через мессенджер, выгрузку на флешку или отправку на личную почту.

Полностью запрещать обмен документами в рабочих процессах не всегда возможно, поэтому в примере с «Делимобилем» используется мониторинг облачных хранилищ и ссылок на папки. Дополнительно сотрудников обучают правилам информационной безопасности: новые работники проходят курс и экзамен, действующий персонал — регулярное тестирование дважды в год.